文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

Hadoop Yarn REST API未授权漏洞利用挖矿分析

一、背景情况 5月5日腾讯云安全曾针对攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例...YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,那么任何黑客则就均可利用其进行远程命令执行...更多漏洞详情可以参考 http://bbs.qcloud.com/thread-50090-1-1.html 三、入侵分析 在本次分析的案例中,受害机器部署有Hadoop YARN,并且存在未授权访问的安全问题...,黑客直接利用开放在8088的REST API提交执行命令,来实现在服务器内下载执行.sh脚本,从而再进一步下载启动挖矿程序达到挖矿的目的。...application,删除处理 安全加固 1.通过iptables或者安全组配置访问策略,限制对8088等端口的访问 2.如无必要,不要将接口开放在公网,改为本地或者内网调用 3.升级Hadoop到2.x版本以上,并启用

5K60
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Rest api简介

    IBM developerWorks 的文件服务标签云的 API REST API 请求,要求返回 XML 格式数据: GET https://www.ibm.com/developerworks...401 未授权 , 请求要求进行身份验证。 403 已禁止 , 服务器拒绝请求。 404 未找到 , 服务器找不到请求的网页。 405 方法禁用 , 禁用请求中所指定的方法。...使用 HTTP 头进行缓存处理 在 REST 的构架中,我们除了在与后台的数据交换中,需要有一个良好的缓存机制外,针对 REST API 请求都是在远端用 HTTP 发起这一特点,还需要为网络缓存进行更多考虑...IBM developerWorks 的带有电子标签的文件服务 API REST API 请求: GET https://www.ibm.com/developerworks/mydeveloperworks...,可以帮助我们更好的设计 REST API: 批量更新: 当用户需要更新多个资源的时候,你打算让开发者一次次的发送 HTTP 请求逐个更新吗?

    3K60

    REST API设计指导——译自Microsoft REST API Guidelines(一)

    如果API的设计更规范更合理,在很大程度上能够提高联调的效率,降低沟通成本。那么什么是好的API设计?这里我们不得不提到REST API。...另外,REST API的书籍很多,但是完整完善实践丰富的设计指导并不多见,我们有幸看到了微软团队的作品——Microsoft REST API Guidelines,因此才有了此篇内容。...什么是REST API? Rest不是一种协议,也不是一种文字格式,更不是一种开发框架,它是一种系列的设计约束的集合:无状态性、将超媒体作为应用状态的引擎,这个约束我们统称Fielding约束。...简单的来说,在REST API:URL定位资源,用HTTP动词(GET,POST,PUT,DELETE)描述操作。前面说了,REST 指的是一组架构约束条件和原则。...为什么用REST API? 1.前后端分离主要以API为界做接洽的,这样就会有很多的API,API的表现力更强,更加便于理解。

    1.8K30

    REST API和GraphQL API的比较

    REST API REST(表述性状态传输)API 是一种应用程序接口 (API) 的架构风格,它使用 HTTP 请求来访问和使用数据。...GraphQL 为您的 API 中的数据提供完整且易于理解的描述,使客户能够准确地询问他们需要什么,仅此而已,随着时间的推移更容易发展 API,并启用强大的开发人员工具。...典型场景 REST API 假设您有一个 API 来获取学生数据。...TLS 确保两个系统之间的数据传输是私密且未更改的。支持 JavaScript 对象表示法 (JSON) 的 Web 令牌完成 HTTP 身份验证过程,以便从 Web 浏览器安全传输数据。...与 REST API 相比,这是一个明显的区别,在 REST API 中,每个 状态代码都指向某种类型的响应。

    1.7K10

    REST API设计指导——译自Microsoft REST API Guidelines(三)

    前面我们说了,如果API的设计更规范更合理,在很大程度上能够提高联调的效率,降低沟通成本。那么什么是好的API设计?这里我们不得不提到REST API。...关于REST API的书籍很多,但是完整完善实践丰富的设计指导并不多见,我们有幸看到了微软团队的作品——Microsoft REST API Guidelines,因此才有了此篇内容。...5 Taxonomy 分类 As part of onboarding to Microsoft REST API Guidelines, services MUST comply with the taxonomy...Microsoft REST API 准则基本要求的一方面就是 服务的分类必须符合以下定义。...5.5 Long running API faults 长时间运行的API故障 For a Long Running API, it's possible for both the initial request

    1.7K30

    REST API设计指导——译自Microsoft REST API Guidelines(四)

    前言 前面我们说了,如果API的设计更规范更合理,在很大程度上能够提高联调的效率,降低沟通成本。那么什么是好的API设计?这里我们不得不提到REST API。...关于REST API的书籍很多,但是完整完善实践丰富的设计指导并不多见,我们有幸看到了微软团队的作品——Microsoft REST API Guidelines,因此才有了此篇内容。...上篇内容: REST API设计指导——译自Microsoft REST API Guidelines(三) 6 Client guidance 客户指导 To ensure the best possible...符合 Microsoft REST API 指南的 API 应该支持 PATCH 方法。...Accept-Encoding  | Gzip, deflate | 在适用时,REST API应支持GZIP和deflate 。对于非常大的资源,服务可以忽略和返回未压缩的数据。

    3K50

    REST API 最佳实践

    在这篇文章中,我将带你了解创建 REST API 时需要遵循的一些最佳实践。这将帮助你创建最好的 API,并使你的 API 用户使用起来更容易。 0.什么是 REST API?...任何遵循 REST 设计原则的 API 都被称为 RESTful API。 简单地说,REST API 是两台计算机通过 HTTP(超文本传输协议)进行通信的媒介,与客户端和服务器的通信方式相同。...1.REST API 设计建议 1.用名词表示资源 当你设计一个 REST API 时,你不应该在端点路径中使用动词。端点应该使用名词,表示它们各自的作用。...REST API 时,您不需要强迫客户端迁移到新版本,如果他们不想迁移的话。...---- 参考文献 API Design Patterns and Best Practices | API Guide - Moesif REST API Best Practices – REST

    2.8K20

    聊聊rest api设计

    序 本文主要研究下rest api的设计。 设计准则 easy to use & hard to misuse 易用不易误用,也就是api设计不要太复杂,要简单易用,而且还不能容易用错。...use case & document story api文档要围绕story或者use case来进行,在一个业务场景下提供完整的闭环操作。...防止文件下载目录遍历对于提供文件下载的接口,一定要避免目录遍历问题 服务质量保障 提供SLA 提供流量管理、熔断、限流 提供服务扩容机制 提供故障演练 提供审计功能 监控异常流量 提供调用方间的隔离 小结 rest...api的设计牵扯的方面比较多,本文暂时只是先列了一些,后续有待补充。...doc API设计要点 聊聊jpa的动态查询 使用RSQL实现端到端的动态查询

    1.3K10

    REST API工具推荐

    作者 | Marta Krzyk 译者 | 王强 策划 | 小智 市面上可用的 REST API 工具选项有很多,我们来看看其中一些开发人员最喜欢的工具。...Talend API Tester 是专用于测试 HTTP 和 REST API 的工具。...如果你需要在 REST 服务中采用 SOAP 服务,或者你消费 API但想通过中间人公开 API 的后端服务,它会为你提供具有许多策略选项(配额、身份验证、数据中介、缓存)的代理向导。。...其主要使用场景有: 通过一个平台构建、托管和管理多个 API 跨多个技术端点消费和编排数据 加快 API 开发 简化现有的 API Linx 在创建或调用内部和外部 REST Web 服务方面特别强大。...参考阅读: https://hackernoon.com/rest-api-tools-smackdown-nov3ulw

    3.2K30

    什么是REST API ?

    什么是REST API ? 前言 作者:神的孩子都在歌唱 一. REST简介 REST 是 Internet 上计算机之间最常见的通信标准。 API 代表应用程序编程接口。...大多数移动和 Web 应用程序用于与服务器通信的通用 API 标准称为 REST。...REST全称是Representational State Transfer,中文翻译为“表征状态转移”或“表现层状态转化”。这是什么意思呢? REST 不是规范。...这是一套新的规则,自 2000 年代初以来一直是构建 Web API 的通用标准。遵循 REST 标准的 API 称为 RESTful API。...REST 基础知识 2.1 请求方式 RESTful API 将资源组织成一组唯一的 URI 或统一资源标识符。 URl 区分服务器上不同类型的资源。 如下图, 资源应按名词而非动词分组。

    1.9K01
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券